Bug bounty de Bit2Me

En Bit2Me nos encanta la cultura hacker. Nos sentimos muy identificados con esta corriente que forma parte del ADN de nuestra empresa. Tanto es así que, algunos de nosotros participamos en hackathones y jornadas de CTFs (Capture-The-Flag). Desde Bit2Me siempre estamos dispuestos a colaborar y organizar eventos alineados con este pensamiento.

Con el objetivo de que la sociedad camine hacia un mundo donde las criptomonedas como Bitcoin tengan mayor aceptación trabajamos para construir la mejor plataforma del mundo para criptomonedas.

Esto nos ayudará a convertir un mundo mucho más justo y democrático, sin monopolio del dinero, como actualmente ocurre con el dinero de los bancos centrales. En el que unos pocos esclavizan al resto de la humanidad por la manera de funcionar que tiene.

Somos conscientes del ritmo frenético que una startup como la nuestra puede tener (actualizaciones, nuevos productos, ...) Como seres humanos, también somos conscientes de que no somos perfectos y podemos olvidar alguna cosa.

Por ello, comunidad hacker, este documento es un llamamiento para vosotros. Ponemos a vuestra disposición el mejor bug bounty que hemos podido crear, teniendo en cuenta el tamaño actual de nuestra compañía. A medida que crezcamos iremos actualizando.

Reglas del programa

• Solo se aceptarán informes de vulnerabilidades no reportadas con anterioridad. En caso de duplicados, siempre se recompensará al primer informador (siempre que haya cumplido las reglas aquí expuestas, en su defecto se seguirá por orden de reporte de más antiguo a más reciente).
• Proporcionar las evidencias e información suficiente para que nuestro equipo de ingenieros pueda reproducir y solucionar la vulnerabilidad.
• No mostrar cualquier tipo de conducta ilegal a la hora de revelar la vulnerabilidad a Bit2me, como amenazas, demandas u otro tipo de táctica coactiva.
• No explotar la vulnerabilidad de tal manera que pueda exfiltrar información sensible públicamente, así como no obtener beneficio de la explotación de la vulnerabilidad previamente a la obtención de la recompensa por parte de Bit2me.
• No perpetrar la destrucción de datos o de interrupción de algún servicio de Bit2me en el proceso.
• Informar solo una vulnerabilidad por solicitud, a menos que se necesite encadenar vulnerabilidades para maximizar el impacto sobre un tipo de vulnerabilidad.
• No informar sobre una vulnerabilidad causada por un problema subyacente que sea el mismo que un problema por el que se haya pagado una recompensa en virtud de este Programa.
• Varias vulnerabilidades causadas por un problema subyacente recibirán una única recompensa.
• Una misma vulnerabilidad reproducible en más de 1 servicio o subdominio se tratará como una única vulnerabilidad.

Vulnerabilidades ya reportadas

Una pregunta normal que te puedes hacer, y con razón, es: ¿Cómo puedo estar seguro/a de que Bit2Me será sincero al rechazar la vulnerabilidad justificando que la vulnerabilidad ya fue reportada

Como dice uno de los famosos lemas del mundo de las criptomonedas: “Don’t trust, Verify!"

Como sabéis nos encanta innovar, y nos encanta la tecnología de las criptomonedas. Con esto en mente, y para dar ejemplo con los valores y ventajas que aporta la tecnología Blockchain, toda vulnerabilidad reportada y aceptada, será publicada en Blockchain.

¿Cómo lo haremos? ¡Criptografía al poder!

Una vez reportada y aceptada una vulnerabilidad, antes incluso de ser solventada por nuestro equipo, haremos lo siguiente: 

1. Tomaremos toda la información de la vulnerabilidad y crearemos un informe en formato PDF.

2. Del informe PDF recién creado generaremos una huella digital (hash checksum).

3. Emitiremos una transacción a la blockchain de Ethereum incluyendo en ella el hash generado del documento.

Esta transacción quedará transparente e inmutable en la red para siempre, siendo totalmente imposible de alterar, y quedando reflejo en el momento justo en que fue creada.

¿Qué quiere decir esto?

Si ese hash existía en ese momento, quiere decir que el documento, y con ello la información que la conforma, existían también.

Si, posteriormente, alguien nos reporta una vulnerabilidad similar, le entregaremos el informe PDF, y la transacción. 

Con el informe podrá generar la huella digital por él mismo y comprobar que ya fue registrado ese hash en el pasado, gracias a la transacción de Ethereum proporcionada, donde podrá ver la fecha exacta de la misma.

Para el hash / checksum del informe usaremos el algoritmo SHA-512.

Ámbito de acción (scope)

Hemos limitado la zona de acción para la búsqueda de vulnerabilidades a los siguientes dominios / subdominios:

• bit2me.com

• account.bit2me.com

• wallet.bit2me.com

• converter.bit2me.com 

• converter-app.bit2me.com

• explorer.bit2me.com

• tikebit.bit2me.com

• gateway.bit2me.com

Vulnerabilidades que NO serán aceptadas

• Aunque sí están permitidas vulnerabilidades que puedan producir una denegación de servicio (DoS), ya sea por incongruencias de código, por servicios desactualizados en la plataforma o librerías que generen bucles ciclomaticos excesivos, quedan fuera del ámbito las denegaciones de servicio de forma distribuida (DDoS), como ataques a través de botnets o con herramientas de flooding.
• Bypass de los mecanismos de seguridad de Cloudflare.
• Enumeración de cuentas/emails.
• Ataques de fuerza bruta.
• Content spoofing y text injection sin capacidad de modificar HTML/CSS.
• Auto explotación (como por ejemplo XSS con éxito solo ejecutado en local, scripting en consola, reutilización de token ...).
• Cabeceras CORS permisivas.
• Clickjacking con acciones de mínimo impacto.
• Tab-nabbing.
• Vulnerabilidades relacionadas con autocompletar formularios.
• Carencia de cabeceras o flags (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, HTTPOnly flag, atributos de enlace “noopener noreferrer”, etc.) que no puedan derivar en una explotación directa.
• Carencia de buenas prácticas en configuración SSL/TLS.
• Soporte para métodos HTTP como OPTIONS.
• Ataques CSRF sin comprometer autenticación u operaciones críticas (añadir a favoritos, logout, etc.).
• Exposición de versiones de software o servicios desactualizados.
• Exposición de directorios o archivos públicos (como por ejemplo robots.txt) de mínimo impacto.
• Bugs en navegadores no comunes o en navegadores no soportados por Bit2Me.
• Ataques de MITM que requieran de acceso físico al dispositivo de un usuario.
• Cualquier ataque físico contra las propiedades de Bit2me o sus data centers.
• Paneles de login accesibles públicamente.
• Problemas de UX o de usabilidad que no implican fallos de seguridad.
• Problemas que no tienen impacto en seguridad (por ejemplo fallo al cargar una página).
• Ingeniería social, phishing, vishing, smishing contra empleados, proveedores, clientes o usuarios de Bit2Me.
• Vulnerabilidades ya conocidas por nosotros o ya reportadas por alguien (la recompensa irá para el primer informador).
• Subdominios academy.bit2me.com, blog.bit2me.com, agenda.bit2me.com, news.bit2me.com, tv.bit2me.com, directory.bit2me.com, careers.bit2me.com, media.bit2me.com, support.bit2me.com, dex*.bit2me.com, *.qa.bit2me.com
• Otros…

¿Cómo reportar un bug?

Envía tu informe al correo electrónico:

Deberás utilizar la siguiente clave pública PGP para cifrar el correo electrónico: https://bit2me.com/bugbounty-pgp.txt

Incluye el mayor número de evidencias posibles: título de la vulnerabilidad explotada, descripción de cada paso en la explotación, herramientas utilizadas en la explotación, versión de navegador, adjunta capturas de pantalla (o incluso video), etc.

Incluye la PoC (prueba de concepto), si la realizaste. Será obligatorio incluir una explicación sobre como corregir la vulnerabilidad reportada

Espera hasta 10 días laborales para que nuestro equipo estudie tu solicitud y recibir una respuesta sobre si hemos aceptado tu solicitud. En caso de ser aceptada, se te abonará la recompensa en el plazo estipulado en la Política de respuestas (*ver política de respuestas).

Política de respuestas

Bit2Me hará, siempre, todo lo posible para seguir la siguiente política de respuesta ante las solicitudes enviadas por los hackers que participen en nuestro programa:

Nuestro tiempo máximo para respuestas sobre la aceptación de la vulnerabilidad (desde el recibimiento del informe) es de: 10 días laborales

El tiempo máximo para realizar el pago de la recompensa (desde respuesta sobre aceptación): 10 días laborales.

Los pagos pueden ser realizados de diferentes formas:

• Criptomonedas: Nos encantan las criptomonedas y, si a ti también te gustan, será un placer pagarte la recompensa en criptomonedas como Bitcoin, Ethereum, Monero u otras.

• Transferencia bancaria.

• Paypal.

Recompensas

Las recompensas otorgadas por Bit2Me oscilan entre 50€ para vulnerabilidades bajas hasta 5.000€ para las altamente críticas.

Las recompensas normales serán administradas en base al CVSS v3.1 Score de la vulnerabilidad:

Para vulnerabilidades que, desde el equipo interno de ciberseguridad de la compañía, consideremos MUY críticas, Bit2Me cuenta con una recompensa especial de 5.000€.

Nota: Si el informe no incluye una PoC (prueba de concepto) válida, la calificación de recompensa será decidida acorde a la reproducibilidad y severidad de la vulnerabilidad, y la cantidad de la recompensa podrá reducirse significativamente.

Ejemplos de vulnerabilidades que buscamos:

• XSS (excluyendo self-XSS).
• CSRF (excluyendo CSRF que involucren acciones sin impacto).
• Remote Code Execution.
• Authentication Bypass.
• SQL Injection.
• Filtración de información sensible.
• LFI/RFI.
• Privilege Escalation.
• Vulnerabilidades que puedan causar pérdida de fondos o bienes del usuario.
• Vulnerabilidades que puedan causar la filtración de datos confidenciales de la empresa remotamente.

Hall of Fame

Todas aquellas personas, o entidades, que notifiquen vulnerabilidades que sean recompensadas serán publicadas, si así lo desean.

¡Sé el primero en aparecer aquí!